MADRID 10 abr. (Portaltic/EP) -
O Google vai combater o roubo de contas com uma nova proteção incorporada ao Chrome para Windows, que vincula criptograficamente as sessões de autenticação a um dispositivo para impedir que as credenciais sejam extraídas.
O Chrome 146 para Windows introduziu o Device Bound Session Credentials (DBSC), um protocolo que visa combater diretamente o roubo de cookies de sessão do navegador ou de tokens de login em novas contas em um servidor controlado por um ciberatacante.
Isso ocorre quando o usuário baixa um “malware” em seu navegador sem perceber e, uma vez ativo, este “acessa o computador, podendo ler os arquivos locais e a memória onde os navegadores armazenam os cookies de autenticação”, conforme explica o Google em seu blog oficial.
Além disso, os cookies de autenticação costumam ter “uma vida útil prolongada”, algo de que se aproveitam os infostealers, como o LummaC2, para acessar as credenciais, utilizá-las e até mesmo vendê-las. Segundo o Google, como não há “uma forma confiável de prevenir a exfiltração de cookies”, a maneira de mitigar o roubo tem sido detectar as credenciais a posteriori.
Nesse contexto, o DBSC utiliza módulos de segurança baseados em hardware, que geram um par de chaves pública/privada únicas que não podem ser exportadas do computador. Dessa forma, o login depende de o Chrome comprovar ao servidor que possui a chave privada correspondente para que novos cookies possam ser emitidos.
“Como os invasores não podem roubar essa chave, qualquer cookie exfiltrado expira rapidamente e se torna inútil para eles [os ciberatacantes]”, afirma o Google.
A empresa também afirma que a proteção foi projetada para que identificadores de dispositivo e dados de autenticação não sejam vazados para o servidor, e que a comunicação entre as duas partes se limita à troca de chaves criptográficas.
O Google implementou uma versão preliminar do DBSC no ano passado e agora anunciou sua disponibilidade pública no Chrome 146 para Windows, onde utiliza o Módulo de Plataforma Segura (TPM). Também para o macOS em uma futura atualização do navegador, onde utilizará o Enclave Seguro.
Esta notícia foi traduzida por um tradutor automático